Delayed Password Protection Atrasado senha de proteção

Passwords and security are a perennial problem we all face when using the Interwebs. Senhas e segurança são um problema que todos temos pela frente quando se utiliza o Interwebs. There are various solutions, but none of them are perfect. Existem várias soluções, mas nenhuma delas é perfeita. Even the strongest encryption technologies available for common use could be broken given enough computer power or just simple luck on the part of a hacker. Mesmo as mais fortes tecnologias disponíveis para uso comum poderia ser quebrado dado poder suficiente computador ou uma simples sorte por parte de um hacker. But, that doesn’t stop computer scientists from trying to come up with new ways to make us electronically safe. Mas, que não pára de cientistas de computador tentando chegar a novas formas de fazer-nos por via electrónica segura.

Now, Markus Jakobsson of the Palo Alto Research Center, in California working with Steven Myers of the School of Informatics, at Indiana University, Bloomington, have come up with a new security protocol that goes by the snappy name of Delayed Password Disclosure , or DPD, for short. Agora, Markus Jakobsson do Palo Alto Research Center, na Califórnia trabalhar com Steven Myers da Escola de Informática, na Universidade Indiana, em Bloomington, têm surgido com um novo protocolo de segurança que vai pelo nome de mal-humorado Atrasado Senha Disclosure, ou DPD , Para breve. Oh, and by the way, the domain DPD.com is still available if some entrepreneurial reader wishes to cybersquat it before it’s snapped up. Ah, e pela maneira, o domínio DPD.com ainda está disponível, se algum leitor quiser empreendedora cybersquat-lo antes que bati up's.

Anyway, DPD is based on the traditional username and password paradigm, with all its pros and cons. De qualquer maneira, DPD tem por base a tradicional paradigma de usuário e senha, com todos os seus prós e contras. However, according to Jakobsson and Myers DPD can reduce the effectiveness of Contudo, de acordo com Myers e Jakobsson DPD pode reduzir a eficácia dos phishing or spoofing attacks and so protect users from online ou ataques com falsificação e assim proteger os usuários on-line a partir de identity fraud fraude identidade .

Jakobsson and Myers explain that the DPD protocol works by providing the user with dynamic feedback while they are entering their password into a login form. Jakobsson Myers e explicar que o protocolo DPD obras, fornecendo ao utilizador com feedback dinâmico enquanto estão digitando sua senha em um formulário de login. They point out that such an approach is normally frowned upon by the cryptographic community. Eles lembram que este tipo de abordagem é normalmente mediante cara amarrada pela comunidade criptográfica. However, the team argues that it results in much more effective security than current approaches that are considered cryptographically acceptable. No entanto, a equipe alega que resulta em muito mais eficaz do que abordagens actuais de segurança que são considerados aceitáveis criptograficamente.

The delay does not prevent the first few characters of a password being revealed if one is inadvertently visiting a phishing site. O atraso não impede que os primeiros caracteres de uma senha a ser revelado se for inadvertidamente uma visita um site de phishing. But, before you finish password entry the system provides feedback that will alert you to an ongoing phishing attack before it is complete and so prevent you disclosing your entire password. Mas, antes que você termine senha entrada do sistema que fornece feedback irá alertá-lo para um ataque phishing em curso antes que esteja completo e, dessa forma, evitar-lhe revelando toda a sua senha. The team describes further details in a recent issue of the A equipe ainda descreve em detalhes uma recente edição do International Journal of Applied Cryptography International Journal of Applied Cryptography .

In an everyday login, you enter your username and password and these are sent either as plaintext or encrypted to the server. Em um cotidiano login, você digitar seu nome de usuário e senha, e estes são transmitidos, quer como texto simples ou encriptado para o servidor. If it’s the genuine site and you entered your details properly you’ll be logged in. If there is no encryptions as is surprisingly common, then the password gets uploaded as plaintext, which an eavesdropper could easily read. Se ele é o verdadeiro site e você digitou seus dados corretamente, você será conectado polegadas Se não houver encriptações como é surpreendentemente comuns, em seguida, a senha fica carregado como texto simples, que facilmente poderiam ler um eavesdropper. But, even with encryption (”https://” instead of “http://” at the start of the address) there is no prior sharing of an encryption key so that has to be sent too, which defeats this security measure to some extent. Mas, mesmo com criptografia ( "https: / /" em vez de "http://" no início do endereço), não haja prévia partilha de uma chave de encriptação de modo que tem de ser enviado, também, que esta medida de segurança para Derrota certa medida. Phishing sites are becoming increasingly sophisticated and may even offer genuine-seeming security certificates at some point in the login procedure giving them an air of authority they shouldn’t have that naïve users will not recognize. Sites phishing estão se tornando cada vez mais sofisticados e podem até oferecer-parecendo verdadeiros certificados de segurança em algum momento no processo de login, dando-lhes um ar de autoridade não deveriam ter que ingênuos usuários não reconhece.

The DPD approach is a mutual authentication technique that augments password entry with an image sequence specific to the user and service provider. A DPD abordagem é uma técnica que aumenta autenticação mútua senha entrada com uma imagem seqüência específica para o usuário eo prestador de serviços. Each user learns to recognize their sequence of images and knows not to enter their password if the images are incorrect. Cada usuário aprende a reconhecer as suas sequências de imagens e não sabe digitar sua senha para que as imagens sejam incorretas. More details Mais detalhes here aqui . .

It all sounds quite sensible, and a beta version is due for imminent release. Tudo parece muito sensato, e uma versão beta está prevista para o lançamento iminente. However, I cannot help feeling that even partial disclosure of one’s password might leave anyone who uses a simple password open to further brute-force attack. No entanto, não posso deixar de sentir que, mesmo parcial da divulgação de uma senha pode deixar qualquer um que usa uma senha simples para abrir ainda mais brute force ataque. Moreover, modern email programs, such as Thunderbird, some webmail applications, and many browsers including Internet Explorer and Firefox have built in systems that alert users to links that are likely to lead to a phishing site as soon as they’re clicked. Além disso, programas modernos e-mail, como o Thunderbird, algumas aplicações do webmail, e muitos navegadores, incluindo o Internet Explorer eo Firefox têm construído em sistemas que alerta os usuários para links que são susceptíveis de conduzir a um site de phishing, assim que eles forem clicados.

Couple that with the kind of antiphishing protection offered by Casal que, com o tipo de proteção oferecida pela Antiphishing OpenDNS , which maintains a burgeoning blacklist of phishing sites as well as checking links before you get hooked, and I am not sure how much benefit DPD will actually bring. , O qual mantém uma lista negra florescente sites de phishing, assim como verificar ligações antes de você chegar em forma de gancho, e não tenho a certeza de quanto vai realmente trazer benefícios DPD.

Educating people about the dangers of phishing is important too. Educar as pessoas sobre os perigos do phishing também é importante. Not every internet user is as savvy as you the tech-aware reader. Nem todos os usuários internet é a mais experiente como você o tech-aware leitor. It should be at least partially the responsibility of banks, organizations such as ebay and Paypal, and e-commerce sites to tell their customers of the threat. Deveria ser pelo menos parcialmente a responsabilidade dos bancos, organizações como o eBay e PayPal, e sites de comércio eletrônico para informar os seus clientes das ameaças. They should also ensure that they are made aware that they should never click a link in an email that claims to come from one of those organizations, especially if it uses poorly constructed grammar and talks about security breaches and accounts being compromised. Eles também devem garantir que eles estejam conscientes de que nunca deveria clicar em um link em um e-mail que afirma que provêm de uma dessas organizações, especialmente se ele usa mal construído gramática e fala sobre violações de segurança e de contas a ser comprometida.

There is a very simple way to implement DPD without resort to a computer science degree, however, and I have explained it here before. Existe uma maneira muito simples de implementar DPD sem recorrer a um computador ciência certa, porém, e já expliquei isso aqui antes. When you visit a site and are ready to login, type in your real username but enter a nonsense password. Quando você visitar um site e está pronto para o login, escreva o seu nome de usuário real, mas inserir um disparate senha. A genuine site will bounce back an error message and alert you to the fact that the password you entered did not match your username. Um verdadeiro site irá falhar novamente uma mensagem de erro e alertá-lo sobre o fato de que a senha que você digitou não combinam com o seu nome de usuário. A phishing site, on the other hand, does not know what your username and password are and so will accept them whatever you enter. Um site de phishing, por outro lado, não sei o seu nome de usuário ea senha são assim e vai aceitar o que quer que eles entrem.

This method is not foolproof, but if the site claims to have logged you in correctly when you know for sure that you entered a dummy password, then shut that browser tab and proceed no further. Este método não é infalível, mas se o site afirma ter registrado corretamente em você quando você sabe com certeza que você digitou um manequim senha, então fechem a aba browser e não avance ainda mais. Be thankful you were the one that got away. Seja grato a você era um que fugiu.